Pgbouncer
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.0413
Распределение по критичности
Критический
2
Высокий
6
Средний
2
Низкий
0
Также сопоставлено как (исходные строки): pgbouncer
Топ уязвимостей
CVE-2026-6665Код SCRAM в PgBouncer до 1.25.2 не правильно проверил стоимость возврата strlcat() при создании содержимого SCRAM-завершающего сообщения. Вредоносный бэкэнд, который отправляет сервер-финал-сообщение SCRAM с длинным нонсом, может вызвать переполненность стека.
CVE-2025-2291Пароль может быть использован после истечения срока действия в PgBouncer из-за auth_query, не принимая во внимание Postgres его АКТИВНОЕ ОБЪЕМОСТЬ, который позволяет злоумышленнику войти в систему с уже просроченным паролем
CVE-2025-12819Ненадежным путем поиска в обработчике соединения auth_query в PgBouncer до 1.25.1 позволяет неаутентифицированному злоумышленнику выполнять произвольный SQL во время аутентификации через вредоносный параметр search_path в StartupMessage.
CVE-2021-3935Когда PgBouncer настроен на использование аутентификации "cert", злоумышленник, находящийся посередине, может внедрить произвольные SQL-запросы при первом установлении соединения, несмотря на использование проверки и шифрования TLS-сертификата. Этот недостаток затрагивает версии PgBouncer до 1.16.1.
CVE-2015-6817PgBouncer 1.6.x до версии 1.6.1, при настройке с auth_user, позволяет удаленным злоумышленникам получить доступ к системе под именем пользователя auth_user через неизвестное имя пользователя.
CVE-2026-6666Возможное справка с нулевым указателем в PgBouncer до 1.25.2 может привести к сбою, если сервер отправляет ответ на ошибку без поля SQLSTATE.
CVE-2026-6664Численное переполнение кода сетевого пакета в PgBouncer до 1.25.2 обходит проверку границ и может привести к сбою. Неаутентифицированный удаленный злоумышленник может разбить PgBouncer с помощью неправильно сформированного пакета аутентификации SCRAM.
CVE-2015-4054PgBouncer до версии 1.5.5 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (NULL pointer dereference и сбой), отправляя пакет пароля перед пакетом запуска.
CVE-2012-4575The add_database function in objects.c in the pgbouncer pooler 1.5.2 for PostgreSQL allows remote attackers to cause a denial of service (daemon outage) via a long database name in a request.
CVE-2026-6667PgBouncer до 1.25.2 не выполнил соответствующую проверку авторизации для команды администратора KILL_CLIENT. Все пользователи, имеющие доступ к канцелесообразности администрирования (которая сама по себе требует авторизации), могли запускать эту команду. Было бы правильно разрешить только пользователей, перечисленных в параметре admin_users.